【病毒】autorun.inf and w.cmd - PCZONE 討論區

返回   PCZONE 討論區 > ▲ ADSL_CABLE_FTTH 寬 頻 上 網 討 論 > -- 防 駭 / 防 毒 版
更新本頁 【病毒】autorun.inf and w.cmd


PCZONE 討論區
聯絡我們

通知

-- 防 駭 / 防 毒 版 不論你是使用固定 IP 或是 DHCP 一定都有機會被無聊的駭客入侵 , 來這裡跟大家作防駭以及防毒的心得與資訊分享。

第1頁,共2頁 1 2
頑劣會員
 【病毒】autorun.inf and w.cmd
這是我朋友的電腦目前所中的病毒與目前狀況
一.工作管理員看不出異常
二.Rootkit Unhooker 找不到鎖定的隱藏程序在執行中
三.掃毒軟體 NOD32 3.0xxx 並沒有掛掉,但啥東西都掃不到… srO
四.Panda 可以掃到
16 個弱點? vulnerabilities
5 個可疑的檔案
615 個受感染的檔案
五.System32 的 Drivers 裡面找不到
srosa.sys / hldrrr.exe / mdelk.exe / wintem.exe
六.隱藏資料夾與系統檔案顯示不能(同樣的被綁架了

=====================
一.請問有沒有人有經驗處理這樣的病毒與狀況呢?
二.準備使用重灌大法
三.不良的使用習慣會...害死我們這些永久性義務大愛免費勞工的 ...srO

以上!

=====================
經過十秒鐘之後…找到 jvvo.exe 與 kxvo.exe
經過查找…原來是新變種 kXvo 真是層出不窮啊…
繼續解毒中...

以下是附件的掃毒結果,附檔名均已改成 .bak 了,有興趣的可以外帶回家吃吃看

autorun.inf
引用:
AhnLab-V3;2008.7.8.0;2008.07.08;-
AntiVir;7.8.0.64;2008.07.08;-
Authentium;5.1.0.4;2008.07.07;-
Avast;4.8.1195.0;2008.07.08;-
AVG;7.5.0.516;2008.07.08;Worm/AutoRun
BitDefender;7.2;2008.07.08;-
CAT-QuickHeal;9.50;2008.07.08;-
ClamAV;0.93.1;2008.07.08;Inf.Suspect-1
DrWeb;4.44.0.09170;2008.07.08;-
eSafe;7.0.17.0;2008.07.08;-
eTrust-Vet;31.6.5936;2008.07.08;INF/Frethog
Ewido;4.0;2008.07.08;-
F-Prot;4.4.4.56;2008.07.07;-
F-Secure;7.60.13501.0;2008.07.08;BAT/AutoRun.AE
Fortinet;3.14.0.0;2008.07.08;-
GData;2.0.7306.1023;2008.07.08;-
Ikarus;T3.1.1.26.0;2008.07.08;-
Kaspersky;7.0.0.125;2008.07.08;-
McAfee;5333;2008.07.07;-
Microsoft;1.3704;2008.07.08;-
NOD32v2;3250;2008.07.08;-
Norman;5.80.02;2008.07.08;BAT/AutoRun.AE
Panda;9.0.0.4;2008.07.08;-
Prevx1;V2;2008.07.08;-
Rising;20.52.12.00;2008.07.08;-
Sophos;4.31.0;2008.07.08;Mal/AutoInf-A
Sunbelt;3.1.1509.1;2008.07.04;INF.Autorun (v)
Symantec;10;2008.07.08;-
TheHacker;6.2.96.374;2008.07.07;Trojan/Small.autorun
TrendMicro;8.700.0.1004;2008.07.08;-
VBA32;3.12.6.8;2008.07.07;-
VirusBuster;4.5.11.0;2008.07.08;-
Webwasher-Gateway;6.6.2;2008.07.08;-
w.cmd
引用:
AhnLab-V3;2008.7.8.0;2008.07.08;-
AntiVir;7.8.0.64;2008.07.08;TR/Vundo.Gen
Authentium;5.1.0.4;2008.07.07;W32/Onlinegames.gen
Avast;4.8.1195.0;2008.07.08;-
AVG;7.5.0.516;2008.07.08;-
BitDefender;7.2;2008.07.08;Packer.Malware.NSAnti
CAT-QuickHeal;9.50;2008.07.08;(Suspicious) - DNAScan
ClamAV;0.93.1;2008.07.08;-
DrWeb;4.44.0.09170;2008.07.08;modification of Win32.Besso
eSafe;7.0.17.0;2008.07.08;Suspicious File
eTrust-Vet;31.6.5937;2008.07.08;-
Ewido;4.0;2008.07.08;-
F-Prot;4.4.4.56;2008.07.07;W32/Onlinegames.gen
F-Secure;7.60.13501.0;2008.07.08;-
Fortinet;3.14.0.0;2008.07.08;-
GData;2.0.7306.1023;2008.07.08;-
Ikarus;T3.1.1.26.0;2008.07.08;-
Kaspersky;7.0.0.125;2008.07.08;-
McAfee;5333;2008.07.07;-
Microsoft;1.3704;2008.07.08;PWS:Win32/Frethog.gen!L
NOD32v2;3250;2008.07.08;-
Norman;5.80.02;2008.07.08;-
Panda;9.0.0.4;2008.07.08;Suspicious file
Prevx1;V2;2008.07.08;Cloaked Malware
Rising;20.52.12.00;2008.07.08;-
Sophos;4.31.0;2008.07.08;Mal/EncPk-CE
Sunbelt;3.1.1509.1;2008.07.04;Packed.Win32.NSAnti.e
Symantec;10;2008.07.08;-
TheHacker;6.2.96.374;2008.07.07;-
TrendMicro;8.700.0.1004;2008.07.08;PAK_Generic.005
VBA32;3.12.6.8;2008.07.07;-
VirusBuster;4.5.11.0;2008.07.08;Trojan.Lineage.Gen!Pac.3
Webwasher-Gateway;6.6.2;2008.07.08;Trojan.Vundo.Gen
這個送去掃描好像有點多此一舉?
w.rar(包含 autorun.inf 與 w.cmd
引用:
AhnLab-V3;2008.7.8.0;2008.07.08;-
AntiVir;7.8.0.64;2008.07.08;TR/Vundo.Gen
Authentium;5.1.0.4;2008.07.07;W32/Onlinegames.gen
Avast;4.8.1195.0;2008.07.08;-
AVG;7.5.0.516;2008.07.08;Worm/AutoRun
BitDefender;7.2;2008.07.08;Packer.Malware.NSAnti
CAT-QuickHeal;9.50;2008.07.08;(Suspicious) - DNAScan
ClamAV;0.93.1;2008.07.08;Inf.Suspect-1
DrWeb;4.44.0.09170;2008.07.08;modification of Win32.Besso
eSafe;7.0.17.0;2008.07.08;Suspicious File
eTrust-Vet;31.6.5937;2008.07.08;-
Ewido;4.0;2008.07.08;-
F-Prot;4.4.4.56;2008.07.07;W32/Onlinegames.gen
F-Secure;7.60.13501.0;2008.07.08;BAT/AutoRun.AE
Fortinet;3.14.0.0;2008.07.08;-
GData;2.0.7306.1023;2008.07.08;-
Ikarus;T3.1.1.26.0;2008.07.08;-
Kaspersky;7.0.0.125;2008.07.08;-
McAfee;5333;2008.07.07;-
Microsoft;1.3704;2008.07.08;PWS:Win32/Frethog.gen!L
NOD32v2;3250;2008.07.08;-
Norman;5.80.02;2008.07.08;BAT/AutoRun.AE
Panda;9.0.0.4;2008.07.08;Suspicious file
Prevx1;V2;2008.07.08;Cloaked Malware
Rising;20.52.12.00;2008.07.08;-
Sophos;4.31.0;2008.07.08;Mal/EncPk-CE
Sunbelt;3.1.1509.1;2008.07.04;Packed.Win32.NSAnti.e
Symantec;10;2008.07.08;-
TheHacker;6.2.96.374;2008.07.07;Trojan/Small.autorun
TrendMicro;8.700.0.1004;2008.07.08;PAK_Generic.005
VBA32;3.12.6.8;2008.07.07;-
VirusBuster;4.5.11.0;2008.07.08;Trojan.Lineage.Gen!Pac.3
Webwasher-Gateway;6.6.2;2008.07.08;Trojan.Vundo.Gen


上傳的附加檔案
檔案類型: rar w.rar (123.0 KB, 170 次觀看)
此篇文章於 2008-07-08 11:06 PM 被 windata 編輯。.
回覆
You can call me sexy baby
 回覆: 【病毒】autorun.inf and w.cmd
[AutoRun]
open=w.cmd
shell\open\Command=w.cmd
shell\open\Default=1
shell\explore\Command=w.cmd

引用:
w.cmd (events: 19)
2008/7/9 上午 01:08:26 Placed in group High Restricted
2008/7/9 上午 01:08:26 Setting debug privileges Denied: KLPrivileges/KLPermissionSystem/KLPermissionPrivileges/KLSetDbgPrivilege
2008/7/9 上午 01:08:26 Modification C:\WINDOWS\system32\drivers\vga.sys Denied: KLSystemData/KLSystemFiles/Drivers
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo.exe Denied: KLSystemData/KLSystemFiles/SystemExe
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo.exe Denied: KLSystemData/KLSystemFiles/SystemExe
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo.exe Denied: KLSystemData/KLSystemFiles/SystemExe
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo0.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo1.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo2.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo3.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo4.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo5.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo6.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo7.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo8.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo9.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/9 上午 01:08:28 Modification hkey_users\S-1-5-21-796845957-220523388-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run Denied: KLSystemData/KLStartupRegKeys/Main_Run
2008/7/9 上午 01:08:38 Access to another process memory c:\windows\explorer.exe Denied: KLPrivileges/KLPermissionAppAccess/KLPermissionProcEmbed/KLReadProcMem
2008/7/9 上午 01:08:52 Process start c:\windows\system32\dwwin.exe Denied: KLPrivileges/KLPermissionAppAccess/KLPermissionProcManage/KLStartProc
再不行的話就用sreng來解毒
回覆
會員
 回覆: 【病毒】autorun.inf and w.cmd
1.先用下列方式修改,恢復能正常顯示隱藏功能
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden為1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue為1

2.檢查HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 中有沒有可疑的檔案連結
3.搜尋autorun.inf及w.cmd並刪除(不要直接點選磁碟機)
4.再至系統(winnt/system32)/Temp/Driver目錄下找找看有沒有可疑或隱藏檔的執行檔

若嫌麻煩就去 卡巴\趨勢\賽門 網站找免費掃毒工具試試看摟~~

再不行就只有用重灌大法了
回覆
會員
 回覆: 【病毒】autorun.inf and w.cmd
如果你有檔案的資料和路徑,建議你試試看這樣處理
http://www.pczone.com.tw/vbb3/thread/3/136449/ 討論串的 http://tw.myblog.yahoo.com/noname-team/ 下載的 XPPE光碟,作成光碟之後,從光碟開機。
直接進入你的 C 磁碟,刪除病毒檔案,然後再重新開機,進入系統之後,試試看是否可以恢復顯示隱藏檔案的功能(luznga 大大所提供的第一點方式) ,如果可以,請以防毒程式重新掃毒。

如果不行,表示系統中應該還有病毒存在。
回覆
會員
 回覆: 【病毒】autorun.inf and w.cmd
不知你有沒有試過這個

USB隨身碟蠕蟲病毒清除精靈

之前也中過類似的,你試試...
回覆
會員
 回覆: 【病毒】autorun.inf and w.cmd
引用:
2008-07-09 20:05:43 文件保护(创建文件) 操作:使用隔离区操作
进程路径:D:\桌面\virus\w\w.bak.exe
文件路径:C:\Documents and Settings\Roger\Local Settings\Temp\gp.dll

2008-07-09 20:05:43 文件保护(创建文件) 操作:使用隔离区操作
进程路径:D:\桌面\virus\w\w.bak.exe
文件路径:C:\WINDOWS\system32\jvvo.exe

2008-07-09 20:05:43 文件保护(创建文件) 操作:使用隔离区操作
进程路径:D:\桌面\virus\w\w.bak.exe
文件路径:C:\WINDOWS\system32\jvvo0.dll

2008-07-09 20:05:44 注册表保护(创建注册表值) 操作:使用隔离区操作
进程路径:D:\桌面\virus\w\w.bak.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:jvsoft

2008-07-09 20:05:44 应用程序保护(修改其它进程内存) 操作:使用隔离区操作
进程路径:D:\桌面\virus\w\w.bak.exe
目标进程:C:\WINDOWS\Explorer.EXE
EQSandbox
回覆
會員
 回覆: 【病毒】autorun.inf and w.cmd
請參考看看~(最後一篇)
這是我的手動解毒的流程~
http://www.pczone.com.tw/vbb3/thread/28/141231/3/

kavo~kxvo~tsao~jvvo都是一樣的解法~
回覆
頑劣會員
 回覆: 【病毒】autorun.inf and w.cmd
謝謝各位的建議

目前…已經解的差不多了(手動
自己採用的步驟與『不潔之力 』差不多
不過…我覺得最奇怪的是『在執行中的程序中,竟然找不到隱藏的病毒』

attrib * -s -h -r
刪除之 = =+
run 裡刪除相關的 key... 諸如此類的

回覆
會員
 回覆: 【病毒】autorun.inf and w.cmd
引用:
作者: windata 觀看文章
謝謝各位的建議

目前…已經解的差不多了(手動
自己採用的步驟與『不潔之力 』差不多
不過…我覺得最奇怪的是『在執行中的程序中,竟然找不到隱藏的病毒』

attrib * -s -h -r
刪除之 = =+
run 裡刪除相關的 key... 諸如此類的
竟然找不到隱藏的病毒
↑是指工作管理員裡面看不到嗎?
看不到是正常的~

另外~dos指令也是沒多大用處~
在後面幾次的變種後~
我已經放棄用dos了~
回覆
頑劣會員
 回覆: 【病毒】autorun.inf and w.cmd
並不是用 taskmgr
而是用 rootkit unhooker 去看的

指令至少是一種手段

回覆
第1頁,共2頁 1 2


類似的主題
主題 主題作者 討論版 回覆 最後發表
每次啟動 cmd.exe,自動執行命令 琥珀 -- Windows 討 論 版 12 2010-06-17 04:52 PM
新的usb病毒??1jief.cmd gameadd -- 防 駭 / 防 毒 版 3 2008-10-14 05:25 AM
【木馬】寶物.cmd ppk12164 -- 防 駭 / 防 毒 版 8 2008-04-19 09:48 PM
[幾個奇怪的inf系統檔]machine.inf & mshdc.inf purk -- Windows 討 論 版 0 2007-07-14 03:43 AM
掃描成功CGI漏洞 cmd 怎辦? pcsony -- 防 駭 / 防 毒 版 4 2001-12-05 03:39 PM






 XML   RSS 2.0   RSS 
本站使用 vBulletin 合法版權程式
站務信箱 : [email protected]

本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。